LAB: Dynamic ARP inspection (DAI)
Yêu cầu:
1: Giữ nguyên cấu hình của phần DHCP Snooping
2: Client 2 sẽ gán địa chỉ static IP như mô hình trên.
3: Cấu hình DAI trên SW1 để đảm bảo các client chỉ trả lời các ARP request gởi cho chính client đó (ví dụ: khi R1 gởi ARP request tìm MAC Address của Client 1, thì chỉ có ARP reply từ Client 1 gởi cho R1 qua SW1 là được chấp nhận). MAC của client2 là: 00-C0-9F-A5-EF-1A
4: Đảm bảo Client 1 ping thấy Client 2.
Hướng dẫn:
1: Xem lại phần cấu hình DHCP Snooping.
2: Cấu hình IP cho Client2 là: 192.168.1.22.
3: Cấu hình Dynamic ARP Inspection (DAI) cho SW, cấu hình DAI trust trên f0/24 kết nối đến DHCP Server R2, mặc định, client2 gán IP không thông qua DHCP, SW1 không có thông tin về client2 trong DHCP Snooping database nên sẽ drop ARP reply từ client2, do đó cần cấu hình DAI access-list để SW1 chấp nhận ARP reply từ client2.
SW1(config)# ip arp inspection vlan 10
SW1(config)# interface fastEthernet 0/24
SW1(config-if)# ip arp inspection trust
!cấu hình DAI access-list:
SW1(config)# arp access-list AACL_CLIENT2
SW1(config-arp-acl)# permit ip host 192.168.1.22 mac host 00C0.9FA5.EF1A
SW1(config)# ip arp inspection filter AACL_CLIENT2 vlan 10
Cấu hình đầy đủ:
!R1:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.253 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.253
!
end
!R2:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.254
!
end
!SW1:
!
configure terminal
!
interface range fastEthernet0/1 – 2 , fastEthernet0/23 – 24
switchport mode access
switchport access vlan 10
!
ip dhcp snooping
!
ip dhcp snooping vlan 10
!
no ip dhcp information option
!
interface fastEthernet0/24
ip dhcp snooping trust
!
interface fastEthernet0/23
no ip dhcp snooping trust
!
ip arp inspection vlan 10
!
interface fastEthernet0/24
ip arp inspection trust
!
arp access-list AACL_CLIENT2
permit ip host 192.168.1.22 mac host 00c0.9fa5.ef1a
!
ip arp inspection filter AACL_CLIENT2 vlan 10
!
end
!Kiem tra:
#show arp access-list
#show ip arp inspection interface [interface]
#show ip arp inspection vlan [vlan-range]
#show ip arp inspection statistics vlan [vlan-range]
#show ip arp inspection log
#clear ip arp inspection statistics
#clear ip arp inspection statistics
#clear ip arp inspection log
Hết.
VnPro
Yêu cầu:
1: Giữ nguyên cấu hình của phần DHCP Snooping
2: Client 2 sẽ gán địa chỉ static IP như mô hình trên.
3: Cấu hình DAI trên SW1 để đảm bảo các client chỉ trả lời các ARP request gởi cho chính client đó (ví dụ: khi R1 gởi ARP request tìm MAC Address của Client 1, thì chỉ có ARP reply từ Client 1 gởi cho R1 qua SW1 là được chấp nhận). MAC của client2 là: 00-C0-9F-A5-EF-1A
4: Đảm bảo Client 1 ping thấy Client 2.
Hướng dẫn:
1: Xem lại phần cấu hình DHCP Snooping.
2: Cấu hình IP cho Client2 là: 192.168.1.22.
3: Cấu hình Dynamic ARP Inspection (DAI) cho SW, cấu hình DAI trust trên f0/24 kết nối đến DHCP Server R2, mặc định, client2 gán IP không thông qua DHCP, SW1 không có thông tin về client2 trong DHCP Snooping database nên sẽ drop ARP reply từ client2, do đó cần cấu hình DAI access-list để SW1 chấp nhận ARP reply từ client2.
SW1(config)# ip arp inspection vlan 10
SW1(config)# interface fastEthernet 0/24
SW1(config-if)# ip arp inspection trust
!cấu hình DAI access-list:
SW1(config)# arp access-list AACL_CLIENT2
SW1(config-arp-acl)# permit ip host 192.168.1.22 mac host 00C0.9FA5.EF1A
SW1(config)# ip arp inspection filter AACL_CLIENT2 vlan 10
Cấu hình đầy đủ:
!R1:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.253 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.253
!
end
!R2:
!
configure terminal
!
interface fastEthernet0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
!
ip dhcp pool VLAN10
network 192.168.1.0 /24
default-router 192.168.1.254
!
end
!SW1:
!
configure terminal
!
interface range fastEthernet0/1 – 2 , fastEthernet0/23 – 24
switchport mode access
switchport access vlan 10
!
ip dhcp snooping
!
ip dhcp snooping vlan 10
!
no ip dhcp information option
!
interface fastEthernet0/24
ip dhcp snooping trust
!
interface fastEthernet0/23
no ip dhcp snooping trust
!
ip arp inspection vlan 10
!
interface fastEthernet0/24
ip arp inspection trust
!
arp access-list AACL_CLIENT2
permit ip host 192.168.1.22 mac host 00c0.9fa5.ef1a
!
ip arp inspection filter AACL_CLIENT2 vlan 10
!
end
!Kiem tra:
#show arp access-list
#show ip arp inspection interface [interface]
#show ip arp inspection vlan [vlan-range]
#show ip arp inspection statistics vlan [vlan-range]
#show ip arp inspection log
#clear ip arp inspection statistics
#clear ip arp inspection statistics
#clear ip arp inspection log
Hết.
VnPro